В компьютерных сетях подмена ARP , отравление кэша ARP или токсичная маршрутизация ARP — это метод, с помощью которого злоумышленник отправляет ( подделывает ) сообщения протокола разрешения адресов (ARP) в локальную сеть . Как правило, цель состоит в том, чтобы связать MAC-адрес злоумышленника с IP-адресом другого хоста , например шлюза по умолчанию , в результате чего любой трафик, предназначенный для этого IP-адреса, будет отправлен злоумышленнику.
Подмена ARP может позволить злоумышленнику перехватывать кадры данных в сети, изменять трафик или останавливать весь трафик. Часто атака используется как возможность для других атак, таких как отказ в обслуживании , атака «человек посередине» или атаки перехвата сеанса . [1]
Атака может использоваться только в сетях, использующих ARP, и требует, чтобы злоумышленник имел прямой доступ к атакуемому сегменту локальной сети . [2]
Протокол разрешения адресов (ARP) — это широко используемый протокол связи для преобразования адресов интернет-уровня в адресаканального уровня .
Когда дейтаграмма Интернет-протокола (IP) отправляется с одного хоста на другой в локальной сети , IP-адрес назначения должен быть преобразован в MAC-адрес для передачи через уровень канала передачи данных . Когда известен IP-адрес другого хоста и требуется его MAC-адрес, в локальную сеть отправляется широковещательный пакет . Этот пакет известен как запрос ARP . Компьютер назначения с IP-адресом в запросе ARP затем отвечает ответом ARP , содержащим MAC-адрес для этого IP-адреса. [2]
ARP — это протокол без сохранения состояния . Сетевые узлы автоматически кэшируют все полученные ответы ARP, независимо от того, запрашивали ли их сетевые узлы. Даже записи ARP, срок действия которых еще не истек, будут перезаписаны при получении нового ответного пакета ARP. В протоколе ARP нет метода, с помощью которого хост мог бы аутентифицировать одноранговый узел, от которого исходил пакет. Такое поведение является уязвимостью, которая позволяет осуществлять подмену ARP. [1] [2] [3]